Zuletzt aktualisiert am 18. Mai 2021 von Lars
Eine richtig eklige Virus-Infektion trat bei einem Kunden auf: Cryptowall 3.0. Cryptowall ist sogennante Ransomware (engl. Ransom = Lösegeld), die alle Nutzdateien (Word, Excel, JPG...) verschlüsselt, die Originale zerstört und angeblich nach der Zahlung eines Lösegeldes diese wieder frei gibt.
Grundsätzlich sollte man von der Zahlung eines Lösegeldes absehen, denn damit unterstützt man die kriminellen Machenschaften der Virenentwickler. Ausserdem gibt es diverse Kommentare im Internet, die berichten, dass nach der Zahlung keine Freischaltung erfolgte. Der Vollständigkeit halber sei aber auch erwähnt, dass angeblich die deutsche Telekom bezahlt hat. Ich persönlich hoffe auf eine gezielte Falschaussage. Es wäre traurig, wenn die Telekom kein vernünftiges Backup-Konzept hätte.
Zu erkennen ist Cryptowall 3.0 anhand vier Dateien, die in jedem Verzeichnis liegen, in dem Files verschlüsselt wurden:
- HELP_DECRYPT.HTML
- HELP_DECRYPT.PNG
- HELP_DECRYPT.TXT
- HELP_DECRYPT.URL
Diese Dateien enthalten Anweisungen zur Zahlung des Geldes und anschliessender Entschlüsselung.
Laut Informationen im Internet entfernt sich Crytowall nach der Verschlüsselung selber. Ich kann das bestätigen, jedoch sollte man m. E. den Rechner trotzdem einem intensiven Scan bzw. noch besser einer Neuinstallation unterziehen. Zu gross ist das Risiko, erneut Opfer zu werden.
Mit Cryptowall 3.0 verschlüsselte Dateien wieder entschlüsseln...
...ist ohne Zahlung an die Verbrecher zum jetzigen Zeitpunkt (2015-07-24) anscheinend nicht möglich. Versuche mit diversen im Internet vorhanden Tools schlugen daher auch fehl. Trotzdem liste ich diese hier mal auf, vielleicht helfen Sie dem ein oder anderen bei einer anderen Infektion weiter.
Ältere Versionen konnte man austricksen, indem man einfach mit speziellen Tools nach gelöschten Dateien gesucht hat. Nach dem Verschlüsseln hatten diese einfach die Original-Datei gelöscht. Cryptowall 3.0 hat diese aber mehrfach überschrieben, so dass eine Wiederherstellung nicht mehr möglich ist.
Bei der Recherche nach Cryptowall stösst man immer wieder auf das Tools Spyhunter. Spyhunter scheint aber selbst nicht über alle Zweifel erhaben zu sein und lässt sich auch nciht einfach wieder deinstallieren. Hier hilft das Tool SpyHunterKiller. Also: Finger weg von SpyHunter.
Mögliche Tools hierzu wären gewesen:
Es hilft also nur die Wiederherstellung aus einem hoffentlich vorhandenen Backup.
...und was lernen wir aus Cryptowall?
In der Firma hätten wir nicht allzu grosse Probleme. Backups sind auf externen Medien. Aber auf mein Backup-Konzept zu Hause wirft das einige Fragezeichen. Ich sichere per robocopy auf externe Disks, die immer angschlossen sind. Das werde ich nun ändern und mit schaltbaren USB-Hubs und einer zusätzlichen extern gelagerten Disk arbeiten.
Hallo, hier schreibt Lars. Dipl-Ing. Ingenieurinformatik (FH). Seit Jahrzehnten in der IT tätig. Geprüfter (und begeisterter) Webmaster. Ebenso begeisterter Windows-, Apple-, und Office-User. Ich schreibe über alle möglichen Themen rund um IT. Mehr über mich erfährst du hier: Über mich. Danke für deinen Besuch!